Интервью sia: Sia: звезда, которая ненавидит славу

Интервью с экспертом: «Безопасность аутентификации прирастает стандартами»

Интернет-портал safe-surf.ru, март, 2022
Интервью с Алексеем Сабановым, заместителем генерального директора компании «Аладдин Р.Д.»

Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», в интервью порталу «Безопасность пользователей сети Интернет» рассказал об актуальных рисках информационной безопасности для пользователей систем идентификации и аутентификации.

Расскажите, пожалуйста, о наиболее актуальных рисках для пользователей современных систем идентификации и аутентификации. Что это за риски? Какова их природа?

Даже краткий ответ на вопрос о рисках и об их оценке занял бы объём в десяток страниц. И всё равно он не был бы исчерпывающим, поскольку для каждой информационной системы риски могут отличаться от общего типового перечня. Известно, что риск зависит от вероятности наступления нежелательного события и степени его последствий. Для некоторых типовых систем такие оценки актуальных рисков можно выполнить, опираясь на известное описание угроз аутентификации и методов их парирования, приведённых в международных стандартах, например, ITU-T X.1254, ITU-T 1278, ISO/IEC 29115, NIST SP-800-63-3. Поскольку российская нормативная правовая база, в отличие от зарубежных, не содержит подробных рекомендаций по построению систем идентификации и аутентификации (СИА), каждая организация на своё усмотрение строит систему управления доступом и входящую в неё СИА. Поэтому выделить общие риски для пользователей СИА весьма непросто.

Тем не менее, попробую ответить на ваш вопрос. Оценку рисков обычно выполняют для организации. Для пользователя такой анализ проводится весьма редко. Для некоторого типа информационных систем (ИС), например, систем дистанционного банковского обслуживания (ДБО), такая оценка полезна. Клиенту ДБО важно, чтобы данные его учётной записи никуда не «утекли», и злоумышленники впоследствии не смогли воспользоваться его финансовыми ресурсами.

Риск реализации такого нежелательного события сегодня становится одним из самых актуальных для пользователей. Поэтому некоторым заказчикам мы предлагаем шифровать базу данных учётных записей, и уже нередко заказчики на это идут.

Рассмотрим второй риск. Хотя использование биометрических и поведенческих факторов аутентификации может повысить уровень доверия в результате аутентификации, для оценки их применимости следует учитывать следующие риски:

• В первую очередь, вероятностный характер биометрии: вероятность ошибочного определения того, что измеренные значения биометрии для отдельного субъекта совпадают с измеренными значениями для зарегистрированного в данной ИС пользователя, может быть уменьшена, но не устранена.
• Врожденные биометрические и поведенческие аспекты личности принципиально неизменны и, если когда-либо будет нарушена их конфиденциальность, то они не могут быть отменены и изменены.
• Врожденные биометрические и поведенческие характеристики личности не являются особым секретом. Их можно получить онлайн или, например, с помощью камеры телефона. Так можно получить изображения лица или узоры радужной оболочки глаза. Можно снять с предметов, к которым кто-то прикасался, отпечатки пальцев, в том числе получить их изображения с высоким разрешением.
• Процесс сопоставления наблюдаемого или измеренного биометрического аспекта может быть атакован, что может привести к неправильному распознаванию человека в качестве пользователя.

Учитывая вышесказанное, в качестве третьего риска можно указать риск несанкционированной потери или разглашения персональных данных (ПДн), поскольку все идентификационные данные субъекта доступа в той или иной степени являются его ПДн. Четвёртым риском являются различные реализации атак на протоколы аутентификации. К подобным атакам относятся:

• пассивное прослушивание;
• активные атаки – имитация легального пользователя, проверяющей и доверяющей сторон и перехват сеанса: обращение от имени пользователя к доверяющей стороне с целью получения конфиденциальной информации или ввода недействительной информации; обращение от имени доверяющей стороны к проверяющей стороне с целью получения конфиденциальной информации или ввода недействительной информации.

Какие новые риски могут возникнуть в перспективе? Ведь ландшафт угроз ИБ быстро меняется: злоумышленники совершенствуют технологии и методы атак, находят новые уязвимости, используют пробелы в регуляторике.

Я вас, наверное, разочарую, но не назову новых рисков, тем более в перспективе. Для этого надо быть провидцем. Да, технологии ИКТ быстро развиваются, и технологии атак меняются, но классификация рисков при этом меняется не столь быстро. Например, одним из наиболее актуальных рисков аутентификации является риск реализации атаки «человек посередине», при этом методы атаки меняются, а сама атака остаётся актуальной уже более 30 лет. В качестве второго примера можно привести риски реализации атак класса «социальная инженерия», выполняемых в виде совокупности психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию. Кибермошенники, использующие такие приёмы на практике, постоянно меняют тему и направление атак, приспосабливаясь к новым условиям, но от этого атаки и риски не меняют своё название и свою актуальность.

Очевидно, что на новые вызовы придётся отвечать. Каким вы видите развитие систем идентификации и аутентификации в этой связи?

Хотелось бы увидеть в ближайшей перспективе появление нормативных правовых актов, регулирующих процесс проектирования, построения, эксплуатации и аудита СИА. Существенная часть основы для этого закладывается в серии национальных стандартов системы ГОСТ Р, проекты которых уже разработаны и находятся на разных этапах согласования. По задумке ФСТЭК России базовым стандартом, заложившим фундамент для построения системы стандартов, является ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения», утверждённый в мае 2020 года. Этот стандарт и серия построенных на его основе стандартов призваны сократить отставание национальной системы стандартов от мировой, чтобы гармонизировать выход наших стандартов с минимальным разрывом по времени от международных. Пока это всего четыре стандарта, охватывающие область идентификации и аутентификации с точки зрения уровней доверия, но уже в ближайших планах предусматривается развитие этого базиса, вобравшего в себя тридцатилетний международный опыт, отображенный в двадцати трёх стандартах Международного союза электросвязи и Международной организации по стандартизации (ИСО).

Начиная с указанных четырёх стандартов наша система стандартов будет развиваться в ногу с международными, при этом уже принятые и будущие стандарты не противоречат актуальной нормативно-правовой базе и могут служить одной из составляющих базиса для создания нормативной базы для СИА.

В настоящее время многие предприятия и организации переходят на удалённый доступ к государственным информационным системам и объектам критической информационной инфраструктуры (КИИ), и ФСТЭК России это допускает. Но возникают ли дополнительные риски в связи с таким переходом? Как их можно минимизировать?

Безусловно, удалённый доступ порождает дополнительные и весьма ощутимые риски. Это в первую очередь риски, характерные для сетевого взаимодействия через сети общего пользования и риски нарушения защиты оконечных устройств от несанкционированного доступа (НСД). Однако удалённая работа организуется по-разному.

В первую волну пандемии коронавирусной инфекции некоторые организации не были к ней готовы и существенно ослабили защиту ради предоставления удалённого доступа, чем в ряде случаев не преминули воспользоваться злоумышленники. Те организации, которые регулярно и последовательно следили за состоянием защищённости своих ресурсов, перешли на удалённый режим работы почти безболезненно, особенно те, у кого были резервные бюджеты. Хорошо известно, что были сделаны срочные закупки ноутбуков (объём продаж резко вырос, и к лету 2020 года запас ноутбуков в России «растаял»), которые были оснащены средствами защиты информации от НСД с возможностью построения VPN для доступа к корпоративным информационным ресурсам (КИР), и удалённая работа стала относительно безопасной.

Другое дело – организации, разрешившие своим сотрудникам подсоединяться к КИР с домашних компьютеров. Именно для таких организаций ФСТЭК России и выпустила Требования по безопасности информации к средствам обеспечения безопасно дистанционной работы в информационных (автоматизированных) системах, утверждённые Приказом от 16 февраля 2021 г. № 32, в разработке которого принял участие генеральный директор АО «Аладдин Р.Д.» Сергей Груздев. Требования указанного приказа настолько серьёзно проработаны и строги, что до сих пор ни один разработчик не сертифицировал по этим требованиям своё решение. Поэтому ваша формулировка «ФСТЭК России допускает…» весьма относительна. По сути, это могло бы быть коротким ответом на вопрос «как можно минимизировать риски»: применяйте сертифицированное по требованиям приказа 32 решение. Схема доступа, регламентированная в указанных Требованиях, подразумевает минимальный объём обмена информацией между конечными точками по каналу связи, защищённому сертифицированными средствами криптографической защиты информации, а требования непосредственно к средству обеспечения безопасности удалённой работы включают применение сертифицированной операционной системы и её доверенную загрузку после строгой (или усиленной) аутентификации пользователя только на авторизованных (разрешённых к использованию) ответственным лицом средствах вычислительной техники, а также блокирование возможности использования любых устройств ввода-вывода средств вычислительной техники и удалённого управления.

Какие методы аутентификации наиболее часто применяются пользователями на сегодняшний день, а какие станут самыми востребованными в будущем? Опишите тенденции, преобладающие на зарубежном и российском рынках средств аутентификации.

За последние несколько лет тенденция в мире состоит в последовательном усилении требований к аутентификации как в международных, так и в национальных стандартах развитых стран. В зависимости от уровня рисков строго выстроены уровни доверия к идентификации и аутентификации клиентов информационных систем. При этом рекомендуются и применяются на практике соответствующие методы аутентификации. К сожалению, в абсолютном большинстве документов нормативной правовой базы в основном путём «копи-паст» повторяются слова о необходимости применения идентификации и аутентификации, но не говорится, КАК это делать. Другими словами, выбор методов и средств аутентификации у нас отдан на откуп владельцам (администраторам) информационных систем. В условиях гонки за первенство в цифровизации зачастую выбираются самые простые в реализации (и далеко не соответствующие рискам) методы аутентификации, при этом понятия часто легко подменяются. Например, двухфакторной аутентификацией не слишком утруждающие себя изучением матчасти «информатизаторы» называют всё, что требует неоднократного предъявления в процессе аутентификации. К сожалению, техническая безграмотность разработчиков систем аутентификации и отсутствие «фильтра» в лице экспертов при подготовке проектов некоторых нормативных актов становятся устойчивой тенденцией.

Как вы оцениваете уровень развития национальных корпоративных систем управления аутентификацией? В каком направлении развиваются эти системы?

По большому счёту, повышенное внимание к проектированию СИА стало заметным только с развитием повсеместной цифровизации и началом реального импортозамещения. До этого администраторы, закончившие курсы Microsoft, строили СИА по одному лекалу наших западных «партнёров» с небольшими девиациями в зависимости от выделенных бюджетов. При переходе с импортного системного программного обеспечения (ПО) на свободно распространяемое выяснилось, что адекватной замены на инфраструктурные решения и достаточно удобные средства реализации корпоративных политик управления доступом пока в полном объёме не созданы. Многое надо «достраивать», особенно в части высоких уровней доверия идентификации и аутентификации. Например, для крупного корпоративного заказчика нет масштабируемого решения по обеспечению жизненного цикла цифровых сертификатов доступа, что позволило бы построить строгую многофакторную аутентификацию под управлением специального программного обеспечения. Другими словами, мы живём в эпоху перехода значительной части корпоративных СИА с зарубежного ПО на отечественное, что само по себе является безусловно полезным процессом. Выражаю надежду, что наши разработчики успеют предоставить этому перспективному рынку безопасное и функциональное программное обеспечение, обеспечивающее защищённость ИС различного назначения. При этом хотелось бы существенно повысить защиту данных учётных записей пользователей ИС объектов КИИ. Замечу, что альтернативы шифрованию с помощью сертифицированных отечественных алгоритмов пока не видится.

Как сейчас связаны идентификация и аутентификация с системами управления доступом? Какова роль аутентификации в эволюции данных систем?

На эту тему в 2021 году вышел ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом», разработанный группой специалистов под моим руководством. Этот стандарт может позиционироваться как информационный, но поскольку он вбирает в себя мировой опыт создания СИА, как существенной части систем управления доступом, его пользу признали даже оппоненты. В стандарте чётко расписаны функции и зоны ответственности систем идентификации и систем авторизации, что на мой взгляд поможет администраторам глубже понимать роль и функции идентификации и аутентификации в системах управления доступом.

Как соотносится нормативная правовая база Российской Федерации и стандарты в части идентификации и аутентификации? Насколько они гармонизированы между собой, в чём пока не согласуются?

Исторически сложилось, что пристальное внимание уделялось защите от несанкционированного доступа. Нормативная база, созданная усилиями уполномоченных государственных органов, актуальна для этого вида нарушений в подавляющем большинстве реализаций. В то же время, как было отмечено выше, к сожалению, нормативная база в части санкционированного доступа и особенно в части идентификации и аутентификации пока отстаёт от интенсивно развивающейся системы национальных стандартов. Но это временное явление. Я надеюсь, что в ближайшее время у нас появится нормативная правовая база в части регулирования процессов и систем идентификации и аутентификации, отвечающая самым современным требованиям развития цифрового общества в Российской Федерации.

Как соотносятся международные стандарты по идентификации и аутентификации с системой национальных стандартов России? Вы являетесь экспертом ИСО в данном направлении информационной безопасности. Каковы ваши оценки?

Усилиями ФСТЭК России с помощью лицензиатов – разработчиков стандартов, входящих в ТК 362, удалось ликвидировать отставание в развитии системы стандартов ГОСТ Р. В течение 2022-2023 гг. мы выйдем на уровень современного состояния мировой системы стандартов, и я надеюсь, что с 2023 года стандарты по идентификации и аутентификации будут обновляться каждые 5 лет, как это принято в ИСО. Для этого уже сегодня созданы все условия. В международных организациях по стандартизации работают наши специалисты, оценивающие, какие полезные положения из международных стандартов необходимо привносить в национальную систему стандартов, а без каких мы вполне сможем обходиться. Создана совместная рабочая группа по разработке стандартов по аутентификации, в которую входят ведущие разработчики стандартов из компаний — лицензиатов ФСБ России и ФСТЭК России.

Вошли ли в стандарт ГОСТ Р «Защита информации. Идентификация и аутентификация. Основные положения» положения вашей докторской диссертации по формированию уровней доверия к идентификации и аутентификации? Имеются ли планы по развитию системы национальных стандартов в данном направлении?

Каждому стандарту предшествует анализ состояния не только международных и национальных стандартов, но и состояния научных исследований по предмету разрабатываемого стандарта. В итоге обычно получается достаточно толстый научно-технический отчёт. Естественно, некоторая часть положений из диссертации вошла в часть отчётов, которые легли в основу текстов проектов стандартов.

Поскольку наука не стоит на месте, и в данное время мы с аспирантами решаем научные проблемы по основам доверия к работе систем управления доступом различного назначения, куда СИА входит как существенная составляющая, то имеется вероятность того, что некоторые научные положения могут пригодиться в случае принятия решения уполномоченными органами о разработке новых стандартов по идентификации и аутентификации.

Оригинал статьи

«Сингапурские Авиалинии» (SIA) возобновляют рейсы на остров Бали и анонсируют долгожданное открытие рейсов из Сингапура в Денпасар!

04 февраля 2022г.

Москва, 31 января – «Сингапурские  Авиалинии» (SIA) возобновляют  ежедневные пассажирские рейсы из Сингапура на остров Бали с 16 февраля 2022 года.

На этом маршруте «Сингапурские Авиалинии» будут использовать 337-местный самолет Boeing B787-10. На борту Boeing 787-10, который располагает 36 местами Бизнес Класса и 301 местом Эконом класса, пассажирам представится возможность увидеть новые «продукт» салона SIA на региональных рейсах.

 «Возобновление ежедневных рейсов на Бали является частью долгосрочных планов SIA по развитию туристической индустрии Индонезии. Пассажирская сеть SIA в настоящее время охватывает 64 направления в 34 странах, и мы сделаем все возможное для продвижения Индонезии. Наши рейсы в Денпасар и Джакарту по-прежнему обеспечивают гибкость в путешествии для наших клиентов, желающих лететь в Индонезию или из Индонезии», — сказал г-н Элвин Сих, генеральный менеджер направления Индонезия, «Сингапурские Авиалинии».

SIA продолжает внимательно следить за спросом и будет регулярно корректировать свою полетную сетку, чтобы пропускная способность соответствовала спросу.

Билеты на рейсы между Сингапуром и Бали доступны для продажи через различные каналы дистрибуции SIA. 

Улучшенный бортовой сервис  

С начала пандемии Covid-19 «Сингапурские Авиалинии» сосредоточились на переосмыслении и улучшении опыта путешествий для своих клиентов. Они сделали своим приоритетом интеграцию надежных мер по охране здоровья и безопасности и инновационных составляющих на протяжении всего  путешествия, таким образом обеспечив клиентам уверенность и беспрепятственный опыт путешествий в нестабильное время. Меры по охране здоровья и безопасности SIA также были отмечены несколькими отраслевыми наградами, такими как 5-звездочный рейтинг здоровья и безопасности Skytrax и рейтинг Diamond аудита APEX SimpliFlying Health Safety. Отметка наградами бортовых продуктов и услуг гарантирует, что клиенты будут продолжать наслаждаться первоклассным обслуживанием на борту «Сингапурских Авиалиний».

По ссылке доступны фото и видео в высоком разрешении 

Расписание рейсов на Бали из Москвы

Из Москвы до Бали с минимальной стыковкой в Сингапуре можно добраться, выбрав рейсы по четвергам и воскресеньям. Продолжительность перелета составит около 15 часов 30 минут.

На обратном пути до Москвы минимальное время в пути составит 14 часов 55 минут, если выбрать дни вылета с острова Бали во вторник и субботу.

Москва — Денпасар  Эконом от 56 506 р Премиум эконом от 146 778 р Бизнес класс от 241 390 р

 

 

 

 

 

Пожалуйста, ознакомьтесь с предварительными требованиями для въезда на остров:

1. Денпасар допускает все визы/разрешения на работу.
Виза по прибытию и безвизовый режим приостановлены. 
2. ПЦР-тест необходимо сдать 3 раза за 24 часа до вылета.
3. Соблюдение карантина в течении 7 дней в специальном отеле (имеются специальные карантинные отели на Бали)
4. Подтверждение полной вакцинации (в бумажном или электронном виде) на английском языке со второй дозой, которая была сделана не менее чем за 14 дней до отъезда.
5. Наличие медицинской страховки или страхования путешествия на сумму не менее 100 000 долларов США.
6. Подтверждение своего пребывания во время нахождения в Индонезии.

---

• Назад
• Вперед

Sia : NPR

Sia Страница исполнителя Sia: интервью, статьи и / или выступления, заархивированные в NPR Music

• Подпишитесь на рассылку Best of NPR

Обложка для сингла Долли Партон и Сиа «Here I Am». Предоставлено художником скрыть заголовок

переключить заголовок

Предоставлено художником

Предоставлено художником

Последний сингл Сии называется «Alive», песня, которую она изначально написала для Адель. Предоставлено художником скрыть заголовок

переключить заголовок

Предоставлено художником

Предоставлено художником

Австралийская поп-певица Сия, став звездой, которой она никогда не хотела быть, отказывается показывать свое лицо. PRETTYPUKE/Предоставлено художником скрыть заголовок

переключить заголовок

PRETTYPUKE/Предоставлено художником

Сцена из клипа Сии «Люстра». Предоставлено художником скрыть заголовок

переключить заголовок

Предоставлено художником

В «Bring Night» Сия ласкает свои слова, а пронзительная боль пронизывает каждый слог. Р. Дж. Шонесси скрыть заголовок

переключить заголовок

Р. Дж. Шонесси

Еще от Sia

просмотреть архив или поиск npr. org

Сообщение спонсора

Стать спонсором NPR

Наше эксклюзивное интервью SIA раскрывает неизвестную информацию о новом Subaru Crosstrek

Денис Флирл G+ тесное пространство сборочной линии? Эксклюзивное интервью с исполнительным вице-президентом завода. Ознакомьтесь с новым отчетом Crosstrek здесь и дополнительной информацией, которую он раскрыл.

Реклама

Subaru of America недавно заявила, что Crosstrek Sport and Limited 2024 года впервые будет производиться в США на заводе Subaru of Indiana Automotive (SIA). Так как же американский завод в Лафайете, штат Индиана, добился этого с его тесным пространством сборочной линии?

Уровни отделки салона Crosstrek Sport и Limited останутся популярными моделями, потому что они поставляются с перенастроенным и немного более мощным модернизированным 2,5-литровым двигателем Boxer. Клиенты в США теперь получат их раньше.

Но модели Base и Premium, которые продаются медленнее, по-прежнему будут производиться в Гунме, Япония, и их доставка в США займет больше времени. Итак, мы связались с Subaru из Indiana Automotive (SIA), где будут производиться две комплектации Crosstrek, для эксклюзивного интервью. В результате мы узнали новую информацию о том, что SIA не будет производить полностью новый хэтчбек Impreza 2024 года выпуска в США на заводе в США.

Ответы на наши вопросы о новой продукции Crosstrek принадлежат Скотту Брэнду, исполнительному вице-президенту Subaru компании Indiana Automotive (SIA).

Как вы освободили место для нового производства Crosstrek?

Производство Subaru Impreza следующего поколения 2024 года теперь централизовано на производственных предприятиях Subaru в Гунме, Япония. Это (импреза снята с производства в США) предоставило свободные мощности для сборки Crosstrek 2024 года (на заводе в США) в SIA.

Вы добавили еще одну сборочную линию или использовали существующее пространство?

Нет, используется существующее пространство.

Вы добавили Crosstrek в линейку Impreza 2023 года, поскольку они ездят на одной платформе?

Глобальная платформа Subaru обеспечивает гибкость моделей между сборочными линиями SIA и заводом Subaru в Японии.

Было ли сложно перенести производство Crosstrek из Японии в США?

Все разработки новых моделей открывают уникальные возможности, но мы не столкнулись с какими-либо существенными нарушениями сроков реализации этого проекта.

С какими проблемами вы столкнулись?

Самым сложным аспектом была разработка этой модели во время COVID-19 в условиях строгих ограничений на международные поездки. Однако совместная проектная группа в SIA и Японии адаптировала и разработала новые способы сотрудничества и преодоления этих препятствий.

Когда вы начнете производство нового Crosstrek?

2,5-литровый двигатель Sport and Limited производства SIA начнет поступать в магазины Subaru этим летом.

Сколько моделей Crosstrek вы сможете производить в месяц?

В настоящее время мы не обсуждаем ожидаемые объемы производства. Однако Crosstrek (2024 г.) будет производиться вместе с другими моделями Subaru в SIA.

Subaru of America не будет делиться новыми комплектациями Crosstrek Sport и Limited американского производства 2024 года с канадскими покупателями. Subaru Canada заявляет, что все модели Crosstrek 2024 года будут поставляться из Японии.

Subaru of America получит самую популярную комплектацию Crosstrek Sport 2024 года и топовую версию Crosstrek Limited 2024 года с 2,5-литровым двигателем раньше, потому что теперь они производятся в Америке. В результате им не придется долго ждать, пока новые модели будут отправлены через океан из Японии. Абсолютно новый хэтчбек Impreza 2024 года выпуска для США теперь будет производиться исключительно в Японии, чтобы осуществить переход.

Вам также может понравиться : Новый интерьер Subaru Crosstrek нового поколения — как далеко он вас заведет?

Денис Флирл более 30 лет инвестировал в автомобильную промышленность в качестве консультанта, работая со всеми основными марками автомобилей.